Jump to content

in|security

  • entries
    8
  • comments
    98
  • views
    73,135

Τι είναι τα Ransomware; Πως λειτουργούν; Πως προστατευόμαστε;

jpavly

8,009 views

Μία "μοδάτη" απειλή για όλους, οικιακούς χρήστες, ή εταιρικούς.

 

Τα Ransomware μας απασχολούν εδώ και καιρό και θα συνεχίσουν να το κάνουν, αφού πλέον ο κάθε "χάκερ" έχει τη δυνατότητα να αποσπάσει χρήματα από τα θύματά του.

 

Τι γίνεται με τα ransomwares λοιπόν; Πως λειτουργούν; Πως προστατευόμαστε;

 

Τι είναι τα ransomware και γιατί γίνεται χαμός με δαύτα;

 

Ransomware είναι ένα μικρό malware το οποίο έχει ένα και μοναδικό σκοπό: να κρυπτογραφήσει με ένα ή και παραπάνω κλειδιά τα αρχεία μας. Μετά την κρυπτογράφηση των αρχείων, επόμενη αποστολή είναι να μείνει πίσω ένα μήνυμα, που μας ενημερώνει ότι αν θέλουμε πίσω τα αρχεία μας πρέπει να ακολουθήσουμε πιστά τις οδηγίες: να επικοινωνήσουμε με συγκεκριμένο τρόπο και να πληρώσουμε ένα ορισμένο αντίτιμο, ώστε να λάβουμε ένα script που θα μας επιστρέψει τα αρχεία. 

 

Θυμίζει κατάσταση ομηρίας, για αυτό και ονομάζονται "Ransomware". 

 

04CYBERWALL-blog427-v2.gif.2b0dc8c4fb7bd

 

Οι αμοιβές μπορεί να είναι από 50€ έως και μερικές χιλιάδες ευρώ, ή μερικά bitcoins, ανάλογα που θα πέσει κανείς. Αυτός είναι και ο λόγος που υπάρχει τόση αφιέρωση από κυβερνοεγκληματίες γύρω από τα ransomware, καθώς καταφέρνουν να αποσπάσουν αξιοζήλευτα ποσά με λίγα θύματα.

 

Πως λειτουργούν τα ransomware;

 

Λόγω της απλής σχετικά λογικής τους, κάθε μέρα κυκλοφορούν εκατοντάδες revisions, αλλά υπάρχουν πολλοί κοινοί παράγοντες. Ο βασικότερος είναι ο τρόπος εξάπλωσης και αυτός είναι μέσω email attachments. Emails με δήθεν τιμολόγια, αποδείξεις, φόρμες κλπ. Αυτός είναι κυρίως και ο λόγος για τον οποίο την πατάνε συνήθως εταιρικοί χρήστες. 

 

Τα emails αυτά συνήθως διαθέτουν ένα dropper, δηλαδή ένα φαινομενικά αθώο software (για το antivirus μας) το οποίο έχει ως αποστολή να φέρει και να εκτελέσει το ransomware. Αν τα καταφέρει, αρχίζει η κρυπτογράφηση. 

 

Η κρυπτογράφηση ποικίλει, έχουμε δει κρυπτογραφήσεις χαμηλού επιπέδου που έσπασαν πολύ γρήγορα, αλλά στην πλειοψηφία τους τα ransomware χρησιμοποιούν ιδιαίτερες τεχνικές όπως cloud stored keys, encrypted code, υψηλά επίπεδα κρυπτογράφησης RSA-2048 κλπ. 

 

Τα ransomware έχουν την τάση να ψάχνουν αρχεία, όπως documents, images, αλλά έχουμε δει και περιπτώσεις κρυπτογράφησης μέχρι και βάσεων δεδομένων! Αρχικά τα ransomware θα κρυπτογραφήσουν τοπικά αρχεία, αλλά θα προχωρήσουν και σε mapped drives, δικτυακούς φακέλους που έχουμε "καρφώσει" στο μηχάνημά μας. Αυτό είναι κάτι που τα καθιστά πονοκέφαλο για πολλά τμήματα IT, καθώς προσβάλλονται άμεσα κοινόχρηστα αρχεία σε File Servers.

 

Ένα άλλο ιδιαίτερο χάρισμα είναι ότι έχουν την τάση να αυτοδιαγράφονται μετά το πέρας των εργασιών έτσι ώστε να μην μείνουν υπολείμματα πίσω που θα οδηγήσουν στην ταχύτερη "σύλληψη" τους.

 

Πως προστατευόμαστε από αυτά;

 

Βασικές αρχές προστασίας αρχείων:

  1. Ένα καλό, αξιόπιστο antivirus, το οποίο όμως θα είναι ενημερωμένο και ελεγμένο ότι δουλεύει σωστά.
  2. Κοινή λογική στο τι ανοίγουμε και πως. Αν δεν περιμένουμε κάποιο "τιμολόγιο" ας είμαστε υποψιασμένοι.
  3. Αφαίρεση map drives "γιατί έτσι μας βολεύει", π.χ. το C$ στον κεντρικό μας File Server.
  4. Backup. 
  5. Backup ξανά, σε εξωτερική συσκευή η οποία όμως δεν είναι συνέχεια συνδεδεμένη στο σύστημα. Ειδάλλως κινδυνεύει να κρυπτογραφηθεί και το περιεχόμενό της.

Σχετικά με το 5, συνηθίζω το εξής. Έχω το εβδομαδιαίο incremental backup μου και τον εξωτερικό μου δίσκο στο σύστημα, αλλά ο διακόπτης του είναι πάντα κλειστός. Μόλις το backup software μου αποτύχει να γράψει στο κλειστό δίσκο, με ενημερώνει. Ανοίγω το δίσκο και μόλις τελειώσει το backup, τον κλείνω πάλι. Απλή διαδικασία, αλλά μπορεί να σώσει τα πολύτιμα αρχεία μας.

 

Σε περίπτωση που χάσετε αρχεία από μία τέτοια επίθεση, δοκιμάστε να τα κάνετε undelete, π.χ. με το Recuva. Ένα deep scan μπορεί να αποκαλύψει αρχεία. Ο λόγος είναι γιατί κάποια ransomware αντιγράφουν τα original αρχεία (για να ξεφύγουν από monitoring σε αυτά), κρυπτογραφούν τα αντίγραφα και στη συνέχεια διαγράφουν τα original αρχεία. Δεν είναι λύση, αλλά δεν χάνετε και τίποτα να το δοκιμάσετε.

 

Εργαλεία αποκρυπτογράφησης κυκλοφορούν για διάφορα revisions, κυρίως για αυτά που δεν είναι πολύ ισχυρά, ή κάπως βρέθηκε το που αποθηκεύεται το κλειδί τους.

  • Like 20


29 Comments


Recommended Comments



Μερικά εξτρά μέτρα προστασίας:

 

1) Αν δεν χρειάζεστε την Java... ΣΤΕΙΛΤΕ ΤΗ ΣΤΟ ΚΑΛΟ. Τα περισσότερα ransomware χρησιμοποιούν την java για να μπουκάρουν.
Disable java systemwide ( και στους browsers χωριστά, και το runtime )

 

2) Στο office κάντε disable γενικώς ή την αυτόματη εκτέλεση, μακροεντολών.

  • Like 1

Share this comment


Link to comment

Νομιζω οτι σε τετοιες περιπτωσεις οι τελευταιες λυσεις, ειναι οι καλυτερες, (ειδικα η τελευταια), αμεσως backup και αφαιρεση της φορητης συσκευης, απο τον υπολογιστη.

  • Like 1

Share this comment


Link to comment

Το κυριότερο είναι πως ΔΕΝ ΠΛΗΡΩΝΟΥΜΕ ΤΙΠΟΤΑ. Κι επίσης ψαχνόμαστε γιατί στα περισσότερα τέτοια ransomware, υπάρχουν ήδη βιβλιοθήκες με τα κλειδιά αποκρυπτογράφησης, που ξεκλειδώνουν τα αρχεία μας.. 

Τέλος, ΔΕΝ ΒΑΖΟΥΜΕ ΞΕΝΑ ΦΛΑΣΑΚΙΑ στο pc μας.. ΓΙΑ ΟΠΟΙΟΔΗΠΟΤΕ ΛΟΓΟ! Είτε μας τα χάρισαν, είτε τα μοίρασαν κάπου, είτε τα βρήκαμε κάπου πεσμένα κάτω κι έχουν όνομα "sonya's photozzzz".

 

Τέλος επειδή συμβαίνει κ κάτι άλλο κατά κόρον, όταν μας πουν ότι "μας πήραν" τα αρχεία κ θα μας τα δώσουν αφού πρώτα πληρώσουμε, τραβάμε το pc από το ρεύμα (πρίζα κατευθείαν) και κάνουμε τα εξής:

1) τηλέφωνο στον ISP να επιβεβαιώσει ότι όντως έγινε traffic ανάλογο των δεδομένων μας (σε upload)

     Μπορεί απλά να τα έσβησαν κ να μας δουλεύουν (το πιο πιθανό)

2) κάνουμε image του σκληρού από άλλο μηχάνημα κ κοιτάμε να σώσουμε ότι μπορούμε από το image (υπάρχουν απίστευτα εργαλεία που μπορούν να βρουν αρχεία ακόμα κι από χαλασμένα raid 0 πολλών δίσκων, ακόμα και ssd που είναι ΠΙΟ δύσκολο)

  • Like 2

Share this comment


Link to comment

Μήπως στις βασικές αρχές προστασίας πρέπει να προστεθεί και "6. Βάλτε linux αν δεν είστε κλειδωμένοι σε windows only proprietary λογισμικό"; Μήπως λέω... Αλλά μάλλον δεν συμφέρει τις εταιρείες antivirus...

  • Like 2

Share this comment


Link to comment
πριν 1 ώρα, το μέλος gdp77 έγραψε:

Μήπως στις βασικές αρχές προστασίας πρέπει να προστεθεί και "6. Βάλτε linux αν δεν είστε κλειδωμένοι σε windows only proprietary λογισμικό"; Μήπως λέω... Αλλά μάλλον δεν συμφέρει τις εταιρείες antivirus...

Σωστά! Γιατί τα χιλιάδες malware που κυκλοφορούν σε websites είναι hosted σε Windows!

 

Δεν υπάρχει άτρωτο λογισμικό, όσο υπάρχει ο χρήστης στη μέση, είτε είναι admin, είτε όχι.

  • Like 1

Share this comment


Link to comment

Το θεμα ειναι τι κανει καποιος αν το φαει. Μου εχουν δωσει δισκο απο ενα pc που εχει κανει ολα τα αρχεια mp3 και βεβαια αν τα γυρισεις στο κανονικο τους δεν δουλευουν...

Share this comment


Link to comment
πριν 2 ώρες, το μέλος gdp77 έγραψε:

Μήπως στις βασικές αρχές προστασίας πρέπει να προστεθεί και "6. Βάλτε linux αν δεν είστε κλειδωμένοι σε windows only proprietary λογισμικό"; Μήπως λέω... Αλλά μάλλον δεν συμφέρει τις εταιρείες antivirus...

οι λέξεις heartbleed και shellshock σου λένε κάτι;;

Επίσης για το 2013, 16-24 ΧΙΛΙΑΔΕΣ linux hosted site ΤΗ ΜΕΡΑ, έπεφταν θύματα νέων vulnerabilities και zero day exploits.

Τη πρώτη βδομάδα του Μαρτίου του 2015, αυτός ο αριθμός ήταν 190 ΧΙΛΙΑΔΕΣ.

Ο αριθμός αυτός αυξάνεται συνεχώς.

α διάβασε κι αυτό 

α κι αυτό από το δεκέμβρη του 2014

 

πριν 27 λεπτά, το μέλος icy20 έγραψε:

Το θεμα ειναι τι κανει καποιος αν το φαει. Μου εχουν δωσει δισκο απο ενα pc που εχει κανει ολα τα αρχεια mp3 και βεβαια αν τα γυρισεις στο κανονικο τους δεν δουλευουν...

σταθμίζεις το κόστος της ανάκτηση που θα σου ζητήσει κάποιος ειδικός ή παίζεις με την πιθανότητα να τα χάσεις, αν δεν το ψάξεις καλά πριν βάλεις χέρι.. το κυριότερο είναι να κάνεις έρευνα γύρω από το τι ακριβώς το προκάλεσε κ μετά θα βρεις σίγουρα στο internet και τη λύση.. όλα αυτά θέλουν ελεύθερο χρόνο προφανώς κι όρεξη για διάβασμα.. οπότε ή πληρώνεις τον ειδικό ή φορμάτ

Share this comment


Link to comment
πριν 7 ώρες, το μέλος Delijohn έγραψε:

Το κυριότερο είναι πως ΔΕΝ ΠΛΗΡΩΝΟΥΜΕ ΤΙΠΟΤΑ. 

Πολύ σωστός, δεν πληρώνεις γιατί πρώτον χρηματοδοτείς το έγκλημα, δεύτερον δεν υπάρχει καμία απολύτως εγγύηση για την αποκρυπτογράφηση.

 

πριν 2 ώρες, το μέλος icy20 έγραψε:

Το θεμα ειναι τι κανει καποιος αν το φαει. Μου εχουν δωσει δισκο απο ενα pc που εχει κανει ολα τα αρχεια mp3 και βεβαια αν τα γυρισεις στο κανονικο τους δεν δουλευουν...

Δοκίμασε διάφορα εργαλεία που κυκλοφορούν αν θέλεις. Στη λίστα μου το .mp3 σημαίνει TeslaCrypt νεότερων revisions που δυστυχώς δεν έχω δει μέθοδο αποκρυπτογράφησης ακόμη. Και φυσικά δοκίμασε να κάνεις recovery στα αρχεία του δίσκου.

  • Like 1

Share this comment


Link to comment

Recovery εννοεις με προγραμμα σαν αυτα που ψαχνουμε διαγραμμενα αρχεια σωστα?

Share this comment


Link to comment
πριν 4 λεπτά, το μέλος icy20 έγραψε:

Recovery εννοεις με προγραμμα σαν αυτα που ψαχνουμε διαγραμμενα αρχεια σωστα?

Ναι, ακριβώς αυτά.

Share this comment


Link to comment

Mου έχει τύχει πολλές φορές στην εταιρία το Cryptolocker ή κάποιο παραμφερές με  RSA-2048 . Δεν υπάρχει κάτι που μπορείς να κάνεις πέραν του να ρίξεις backup

και να αρχίσεις να σβήνεις μετά τα αρχεία.

Ιδανική λύση θα ήτανε να είναι virtual παρά φυσικό o File Server .

Μου έχει τύχει τόσες φορές που πλέον το έχω συνηθήσει. Έχω Vmware ESXI με daιly backup , κάνω autoextend δίσκο και ρίχνω backup.

Έχω φτιάξει κ ένα batch προγραμματάκι και διαγράφω τα χαλασμένα αρχεία(η κατάληξη είναι ψιλοστάνταρ ανάλογα το ransomware) και σε 3 ωρες max ανάλογα σε τι βαθμό

έχει φτάσει έχω ξεμπερδέψει. Σε database δεν έχω δει κάτι.

Για το PC αφου είναι εκτός δικτύου τρέχω το ESET Rogue Applications Remover  ( http://support.eset.com/kb2372/?&page=content&id=SOLN2372 ) που αφερεί τα περισότερα ransomware

και ρίχω και ένα scan με malwarebytes. 

 

ΥΓ:Η κρυπτογράφηση που κάνει φαίνεται να τρέχει και στα proccess σαν .exe αλλά δεν έχει στανταρ όνομα και ούτε πιάνει πολύ RAM. (2-5mb)

Edited by gaaragr
  • Like 3

Share this comment


Link to comment

Ένα καλό backup plan είναι σωτήριο ναι, αλλά αν την πατάς συχνά ίσως να κοιτάξεις τις πηγές σου, π.χ. ένα rule στον mail server σου να μην δέχεσαι executables, ακόμα κι αν είναι μέσα σε archives.

Share this comment


Link to comment

Αυτο που κολλησε ο φιλος ηταν 4096 encryption...  Ωραιο πραμα...

Share this comment


Link to comment

Μιας κι είπε ο φίλος παραπάνω για file servers, αν βρίσκεστε σε Windows File Servers, μπορείτε χρησιμοποιώντας το File Server Resource Manager (FSRM) να δημιουργήσετε alerts ή ακόμα και να κόψετε κατευθείαν την δημιουργία των αρχείων. Εν συντομία, πρέπει να φτιαχτεί ένα file group με file patterns το οποίο θα περιέχει τα trace files που έχουν τα ransonmware. Προσθέτει μια μικρή επιβάρυνση στον server αλλά εκτός αν το λειτουργικό είναι μόνιμα στο 100% δε θα υπάρχει θέμα.

  • Like 4

Share this comment


Link to comment
πριν 4 λεπτά, το μέλος Shaman έγραψε:

https://www.peerlyst.com/posts/the-ransomware-invasion-and-some-defenses-against-these-threats

 

Για ιστορικούς λόγους, διαβάστε αυτό το paper (του 1996):

http://vxheaven.org/lib/ayo00.html

User education, πραγματικά πολύ σημαντικός παράγοντας.

Λίγοι το κάνουν, ακόμα κι αν το επαναλαμβάνεις καθημερινά.

  • Like 1

Share this comment


Link to comment

Ωχ... Δεν τα βλεπω καλα τα πραγματα. Σε ενα φακελο βρηκα μεσα αρχεια να εχουν γινει mp3 και στο δικο μου pc...Και καπου εχει και την εικονα με το recovery και καλα. Δεν μπορω να καταλαβω πως μπορει να εγινε αυτο... Δεν εχω βαλει τιποτα στο pc αυτο απο αλλου. Οτι ειχα κανει το ειχα κανει σε ενα ξεμπαρκο pc βαζοντας τον προβληματικο δισκο εκει μεσα...

Share this comment


Link to comment
πριν 26 λεπτά, το μέλος icy20 έγραψε:

Ωχ... Δεν τα βλεπω καλα τα πραγματα. Σε ενα φακελο βρηκα μεσα αρχεια να εχουν γινει mp3 και στο δικο μου pc...Και καπου εχει και την εικονα με το recovery και καλα. Δεν μπορω να καταλαβω πως μπορει να εγινε αυτο... Δεν εχω βαλει τιποτα στο pc αυτο απο αλλου. Οτι ειχα κανει το ειχα κανει σε ενα ξεμπαρκο pc βαζοντας τον προβληματικο δισκο εκει μεσα...

Δεν μπορείς να κάνεις και πολλά, αλλά δες ημερομηνίες δημιουργίας για να καταλάβεις αν έχει σχέση. Το .mp3 έχει λίγο καιρό που παίζει, δεν είναι πολύ φρέσκο.

 

Για περισσότερα κάνε καλύτερα ένα νέο θέμα εδώ σε παρακαλώ:

http://www.thelab.gr/forums/forum/58-antivirus-security/ 

 

Share this comment


Link to comment

γενικά καποια rule σε πολυ μικρά αρχεία βοηθάνε. Το double -extension rule δεν παίζει πάντα.

Στις εταιρίες γενικά παίζει το κόστος οχι τόσο η υλοποίηση. 

Υπάρχουν και extension που μπαίνουν στο antivirus για να ελέγχει τα αρχεία πριν αυτα φύγουν απο το transport hub του exchange πχ.

On 3/16/2016 at 4:23 PM, DJD said:

Μιας κι είπε ο φίλος παραπάνω για file servers, αν βρίσκεστε σε Windows File Servers, μπορείτε χρησιμοποιώντας το File Server Resource Manager (FSRM) να δημιουργήσετε alerts ή ακόμα και να κόψετε κατευθείαν την δημιουργία των αρχείων. Εν συντομία, πρέπει να φτιαχτεί ένα file group με file patterns το οποίο θα περιέχει τα trace files που έχουν τα ransonmware. Προσθέτει μια μικρή επιβάρυνση στον server αλλά εκτός αν το λειτουργικό είναι μόνιμα στο 100% δε θα υπάρχει θέμα.

δεν το ήξερα, θα του ρίξω μια ματιά. Απο οτι βλέπω υπάρχει στα windows 2008 οπότε θα μπεί λογικά.

Η επιβάρυνση είναι σε τι επιπεδο ειναι? RAM ?CPU? HDD?

Share this comment


Link to comment

Καλα υπαρχει περιπτωση να εφαγε ιο μονο ενα shared folder που ειχα δωσει full permissions? Το εσβησα (εχασα οτι ειχα εκει μεσα βεβαια) και τωρα δεν βλεπω κατι αλλο περιεργο...WTF...

Share this comment


Link to comment
πριν 1 ώρα, το μέλος gaaragr έγραψε:

 

δεν το ήξερα, θα του ρίξω μια ματιά. Απο οτι βλέπω υπάρχει στα windows 2008 οπότε θα μπεί λογικά.

Η επιβάρυνση είναι σε τι επιπεδο ειναι? RAM ?CPU? HDD?

CPU και network latency κυρίως, μιας και πρέπει να σκανάρει κάθε αρχείο. Βέβαια αν το μηχανάκι δεν είναι στο 100%, δε θα χεις θέμα.

  • Like 1

Share this comment


Link to comment
On 3/16/2016 at 8:45 AM, Delijohn said:

οι λέξεις heartbleed και shellshock σου λένε κάτι;;

Επίσης για το 2013, 16-24 ΧΙΛΙΑΔΕΣ linux hosted site ΤΗ ΜΕΡΑ, έπεφταν θύματα νέων vulnerabilities και zero day exploits.

Τη πρώτη βδομάδα του Μαρτίου του 2015, αυτός ο αριθμός ήταν 190 ΧΙΛΙΑΔΕΣ.

Ο αριθμός αυτός αυξάνεται συνεχώς.

α διάβασε κι αυτό 

α κι αυτό από το δεκέμβρη του 2014

 

Δεν γράφω ούτε και έχω γράψει ότι το Linux ό,τι και αν κάνεις είναι bullet-proof. Προφανώς δεν είναι idiot-proof. Κανείς δεν θα σε προστατέψει αν κατεβάζεις ό,τι να 'ναι και του δίνεις admin privileges. Αυτό που πίστευα και πιστεύω πάντα περιγράφεται και στα ίδια τα links που μου δίνεις:

"...

Linux will continue to have nasty security holes, but again: the sky isn’t falling. Your Linux system is still far more secure than the average Windows desktop. Attackers are more interested in targeting the larger Windows install base. And Linux does have a great security architecture Windows lacks, too—simply getting most of your programs from a centralized software repository instead of a gaggle of websites helps a lot.

No, you don’t need to start running antivirus software on your Linux system, but be aware: You’re not perfectly safe on Linux, or any other system."

 

Κατά τα άλλα, ναι, διάφορα malware μεταφέρονται προφανώς μέσω internet όπου η πλειονότητα των servers είναι linux hosted, αλλά φυσικά και αυτό είναι εφικτό μια που α) δεν φταίει το Linux για το πόσο συχνά αναβαθμίζονται και πόσο σωστά είναι στημένοι οι servers β) δεν είναι δουλειά του λειτουργικού να ελέγχει τι διακινείται μέσω ενός server.

 

Το βασικό μου επιχείρημα είναι το εξής: Ο τελικός χρήστης linux δεν πρόκειται να βρει τα αρχεία του κρυπτογραφημένα από κάποιο malware, όπως το έπαθαν κάποιοι σε αυτό το thread.

Share this comment


Link to comment
πριν 2 ώρες, το μέλος gdp77 έγραψε:

Το βασικό μου επιχείρημα είναι το εξής: Ο τελικός χρήστης linux δεν πρόκειται να βρει τα αρχεία του κρυπτογραφημένα από κάποιο malware, όπως το έπαθαν κάποιοι σε αυτό το thread.

Το βασικό σου λάθος είναι ότι είσαι πολύ απόλυτος και θεωρείς κάποια πράγματα δεδομένα "επειδή έτσι". :p

 

https://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

Share this comment


Link to comment

Μάλιστα. Ενδιαφέρον ανάγνωσμα. Δεν είχα διαβάσει ποτέ ξανά για επιθέσεις σε linux boxes, αν και στη συγκεκριμένη περίπτωση ο υπαίτιος είναι μια cms app "magento". Δεν πρόκειται για κάποια τρύπα του linux. Εδώ σχετικές πληροφορίες: http://www.zdnet.com/article/how-to-fix-linux-encoder-ransomware/

Edited by gdp77

Share this comment


Link to comment

Το magento είναι το μεγαλύτερο eshop platform παγκοσμίως, θεωρείται από τα πιο ασφαλή. Το θέμα είναι ότι δεν υπάρχουν κάθετοι κανόνες, τρύπες υπάρχουν παντού, απλά στα Windows τις εκμεταλλεύονται πολύ περισσότερο, άλλο να στοχεύεις στο 95% των χρηστών κι άλλο στο 5%. (τυχαία νούμερα)

  • Like 1

Share this comment


Link to comment

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Similar Content

    • By gdp77
      Άρθρο από τους New York Times, δείχνει μια πολύ ανησυχητική εικόνα για τα δεδομένα μας. Η εταιρεία ασφαλείας Emsisoft ανέφερε 41% αύξηση στις επιθέσεις ransomware κατά το 2019 (στις ΗΠΑ) σε σχέση με την προηγούμενη χρονιά (205.280 διακριτές επιθέσεις). Η άνθηση των κρυπτονομισμάτων, όπως το Monero, έχει επιτρέψει στους επιτιθέμενους να ζητούν χρήματα εκβιαστικά, καθώς τα κρυπτονομίσματα τους εξασφαλίζουν την ανωνυμία από τους ελέγχους του τυπικού τραπεζικού συστήματος. Οι επιτιθέμενοι έχουν το πλεονέκτημα των εξαιρετικά πολύπλοκων εργαλείων που αναπτύσσονται συνεχώς και τη δυνατότητα επίθεσης "πρώτου πλήγματος" με αυτά τα εργαλεία, προτού οι όποιες άμυνες μέσω λογισμικού προλάβουν να αναπτυχθούν. Σύμφωνα με το άρθρο των New York Times, η μέση τιμή που ζητείται για το decryption ανέβηκε τους τελευταίους μήνες του 2019 στα 190,946$.
       
      Το ransomaware λειτουργεί κωδικοποιώντας τα αρχεία που βρίσκονται στα αποθηκευτικά μέσα του χρήστη, επιλεκτικά ή στο σύνολό τους. Τότε εμφανίζεται κάποιο μήνυμα στον χρήστη με οδηγίες για τον τρόπο πληρωμής προκειμένου να ανακτήσει τα δεδομένα του. Φυσικά η πληρωμή δεν οδηγεί πάντα σε ανάκτηση των αρχείων (τα οποία μπορεί να πωληθούν και σε τρίτα μέρη). 
       
      Η πόλη της Βαλτιμόρης υπήρξε, για παράδειγμα, ένας από τους στόχους υψηλότατου προφίλ, καθώς 10.000 υπολογιστές της Διοίκησης κλειδώθηκαν εξαιτίας ransomware με υπολογισμένο κόστος περίπου 18 εκ. δολαρίων. Το πλήρες κόστος των επιθέσεων αυτών σε στόχους υψηλού προφίλ υπολογίζεται στις ΗΠΑ στα 7,5 δισ. δολάρια, με τους κυριότερους στόχους να είναι υπηρεσίας υγείας (764 περιπτώσεις), πολιτειακές και δημοτικές αρχές (113 περιπτώσεις), πανεπιστήμια (89 περιπτώσεις) και 1.233 σχολεία.
       
      Η μελέτη της Emsisoft είναι ιδιαίτερα ενδιαφέρουσα για τις συνέπειες των κυβερνοεπιθέσεων στη σημερινή παγκοσμιοποιημένη κοινωνία  και δημοσιεύει ορισμένες εξ αυτών:
       
       
    • By gdp77
      Φαίνεται ότι το  Facebook δεν μπορεί να κάνει τίποτα σωστά σε θέματα ασφάλειας των στοιχείων των χρηστών του. Η πλατφόρμα συνεχίζει να είναι εξαιρετικά δημοφιλής και οι επιθέσεις σε αυτή συνεχίζονται με αποκορύφωμα την πρόσφατη παραβίαση που οδήγησε σε διαρροή στοιχείων για 267 εκατομμύρια εκ των χρηστών του Facebook.
       

       
      Οι τηλεφωνικοί αριθμοί των παραπάνω χρηστών βρέθηκαν σε βάση δεδομένων μαζί με την αντιστοίχισή τους με Facebook IDs. Ο ερευνητής ασφάλειας δεδομένων Bob Diachenko μαζί με την Comparitech ανακάλυψαν τη σχετική Elasticsearch βάση δεδομένων με τα στοιχεία των 267 εκ. χρηστών. Οι ερευνητές πιστεύουν ότι η βάση ανήκει σε κάποια οργάνωση διαδικτυακού εγκλήματος και όχι στο Facebook. Η βάση δεδομένων ήταν ελεύθερη, άνευ ασφάλειας στο διαδίκτυο, για διάστημα σχεδόν δύο εβδομάδων, πριν "εξαφανιστεί από το ραντάρ"...
       

       
      Η ομάδα των ερευνητών δηλώνει ότι μια τόσο μεγάλη βάση δεδομένων είναι πιθανόν να χρησιμοποιηθεί για εκστρατείες phising και spam, κυρίως μέσω SMS. Οι χρήστες του Facebook θα πρέπει να είναι υποψιασμένοι για ύποπτα μηνύματα, ακόμα και αν ο αποστολέας φαίνεται να γνωρίζει το όνομά τους ή βασικά στοιχεία της ταυτότητάς τους. Το μεγαλύτερο ποσοστό των δεδομένων της βάσης αφορούσαν σε χρήστες του Facebook στις ΗΠΑ.
       
      Όσο για την πηγή της βάσης δεδομένων, οι λεπτομέρειες είναι άγνωστες. Οι ερευνητές αναφέρουν ότι μια πιθανότητα είναι ότι τα δεδομένα εκλάπησαν μέσω ενός developer API που χρησιμοποιήθηκε για να αποκτηθεί πρόσβαση στα προφίλ χρηστών και στα διασυνδεδεμένα δεδομένα, πριν το Facebook απαγορεύσει την πρόσβαση σε αυτό, το 2018. Άλλη πιθανότητα είναι να υπάρχει δυσλειτουργία στο υφιστάμενο API της πλατφόρμας που επιτρέπει στους κυβερνο-εγκληματίες να έχουν πρόσβαση σε User IDs και τηλεφωνικούς αριθμούς. Τα δεδομένα θα μπορούσαν ακόμα να έχουν συλλεχθεί και από δημόσια προφίλ με κάποια μέθοδο scraping. Οι ερευνητές προειδοποιούν τους χρήστες να μετατρέψουν τα προφίλ τους σε ιδιωτικά. 
       
      Όλα αυτά αποκαλύπτονται εν μέσω πρόσφατων ειδήσεων, που αναφέρουν ότι το Facebook αρνήθηκε στις απαιτήσεις της κυβέρνησης των ΗΠΑ για πρόσβαση (backdoor) στην ασφαλείς επικοινωνίες που πραγματοποιούνται μέσω της πλατφόρμας. 
    • By gdp77
      Οι ερευνητές ασφαλείας Vinny Troia και Bob Diachenko ανακάλυψαν σε έναν μοναδικό server ένα πρωτόγνωρο μέγεθος προσωπικών δεδομένων χρηστών του διαδικτύου. Ο server είχε αποθηκευμένα 4 terabytes προσωπικών δεδομένων σε σύνολο 1,2 δισεκατομμυρίων εγγραφών. Αυτό σημαίνει ότι τα προσωπικά δεδομένα 1,2 δισεκατομμυρίων χρηστών εκτέθηκαν και προφανώς είναι πλέον προσβάσιμα στο διαδίκτυο.
       
      Τα δεδομένα που εκτέθηκαν περιλαμβάνουν αριθμούς σταθερών και κινητών τηλεφώνων καθώς και προφίλ κοινωνικών δικτύων όπως Facebook, Twitter, LinkedIn και Github. Επιπρόσθετα διέρρευσαν επαγγελματικά ιστορικά (πιθανόν μέσω Linkedln) καθώς και 50 εκατομμύρια αριθμοί οικιών και 622 εκατομμύρια email διευθύνσεις.
       
      Ευτυχώς οι πληροφορίες δεν περιλαμβάνουν αριθμούς πιστωτικών καρτών ή κωδικούς. Πρόκειται, όμως, για τη μεγαλύτερη παραβίαση σε προσωπικά δεδομένα χρηστών που έχει καταγραφεί ποτέ.
       
      Το μεγάλο ερώτημα είναι ποιος είναι ο υπεύθυνος για μια τέτοια παραβίαση. Οι ερευνητές προσπάθησαν να εντοπίσουν την IP διεύθυνση των εισβολέων στο σύστημα, αλλά το μόνο που κατάφεραν ήταν να φτάσουν σε IP που έδειχνε τις υπηρεσίες cloud της Google. Πολλά από τα datasets εντός του server συνδέονταν με την εταιρεία αγοραπωλησίας δεδομένων "People Data Labs", που όμως αρνήθηκε ότι ο επίμαχος server είναι δικιάς της ιδιοκτησίας, κάτι με το οποίο συμφωνεί και ο Troia.
       
      Οι ερευνητές δεν μπορούν να καταλήξουν στο ποιος δημιούργησε τον server ούτε και γιατί. Επίσης δεν μπορούν να γνωρίζουν ποιοι έχουν βρει τον server πριν από αυτούς και αν τα δεδομένα έχουν μεταφερθεί σε άλλα σημεία για άλλου είδους χρήση.
       
      Αξιοσημείωτο είναι ότι ο server εξαφανίστηκε εντός λίγων ωρών μετά την ενημέρωση του FBI για τα ευρήματα των ερευνητών. Φαίνεται ότι κάποιοι έδρασαν αστραπιαία...
    • By gdp77
      Σύμφωνα με δηλώσεις του Pavel Durov, ιδρυτή του Telegram messenger, το WhatsApp είναι ένας δούρειος ίππος με σκοπό την κρυφή παρακολούθηση εκατομμυρίων χρηστών που είναι αρκετά αφελείς ώστε να πιστεύουν ότι ο εν λόγω messenger, που ανήκει στο Facebook, διαφέρει από τη μητρική εταιρεία που συγκλονίζεται από σκάνδαλα σχετικά με την ιδιωτικότητα.
       
      Σε μια μακροσκελή ανάρτηση στο δικό του Telegram channel, την Τετάρτη, ο Durov στόχευσε σε έναν από τους μεγαλύτερους αντιπάλους του πνευματικού του παιδιού, το WhatsApp, το οποίο είναι η δημοφιλέστερη εφαρμογή μηνυμάτων του πλανήτη με ενάμισι δισεκατομμύριο ενεργούς χρήστες και αγοράστηκε από το Facebook το 2014.
       
       
      Ο Ρώσος επιχειρηματίας μνημόνευσε σωρεία από παραβιάσεις ιδιωτικότητας που αφορούν στο Facebook για να τεκμηριώσει τις θέσεις του, αναφέροντας ότι το Facebook έχει εμπλακεί σε πολλά προγράμματα παρακολούθησης πολύ πριν εξαγοράσει το WhatsApp.
       
      Συνεχίζοντας την επίθεσή του, ο Durov αναφέρθηκε και στην πρόσφατη ανακάλυψη ενός συστημικού κενού ασφαλείας στο WhatsApp, το οποίο επιτρέπει σε hackers να αποστείλουν ένα ειδικά φτιαγμένο MP3 αρχείο σε Android και iOS και μέσου αυτού να αποκτήσουν πρόσβαση σε όλα τα αρχεία του χρήστη.
       
       
      Αν και το Facebook ενημέρωσε του χρήστες για το πρόβλημα αυτό, η αδυναμία ασφαλείας υποβαθμίστηκε καθώς δεν υπήρχαν αποδείξεις ότι κάποιος την εκμεταλλεύτηκε. Ο Durov όμως δήλωσε ότι όλα αυτά είναι καπνός από το Facebook, καθώς μια αδυναμία τέτοιου βεληνεκούς μάλλον έχει γίνει αντικείμενο εκμετάλλευσης από hackers, όπως και άλλες προηγούμενες "πίσω πόρτες" του WhatsApp, εναντίον ακτιβιστών των ανθρωπίνων δικαιωμάτων και δημοσιογράφων.
       
      Καθώς το WhatsApp δεν αποθηκεύει αρχεία video στους servers του, αλλά τα στέλνει απευθείας μέσω των servers της Google και της Apple, το Facebook απλά "νίπτει τας χείρας του", δηλώνει ο Durov.
       
       
      Τον τελευταίο μήνα, οι New York Times ανέφεραν ότι επίσημοι από τις ΗΠΑ, το Ηνωμένο Βασίλειο και την Αυστραλία έστειλαν επιστολή στον CEO του Facebook, Mark Zuckerberg, ζητώντας την ανάπτυξη "back doors" στις εφαρμογές messenger, ώστε να επιτρέπεται η πρόσβαση των υπηρεσιών πληροφοριών στις επικοινωνίες των περίπου 300 εκατομμυριών χρηστών του WhatsApp, καθώς και του ενάμισι δισεκατομμυρίου χρηστών του Facebook.
    • By gdp77
      Αν δεν έχετε σταματήσει να χρησιμοποιείτε τον IE, η Google και η Microsoft σας δίνουν ένα επιπρόσθετο κίνητρο, καθώς μόλις αποκάλυψαν ένα νέο κενό ασφαλείας που επιτρέπει τον πλήρη έλεγχο του υπολογιστή σας από τρίτους.
       
      Η Microsoft δημοσίευσε, τη Δευτέρα, τα στοιχεία για το κενό ασφαλείας CVE-2019-1367 που υπάρχει σε κάθε έκδοση του ΙΕ για  Windows 7, Windows 8.1 και Windows 10. Την ανακάλυψη της αδυναμίας αυτής έκανε ο Clément Lecigne που εργάζεται στο Threat Analysis Group της Google. Η αδυναμία αυτή του λογισμικού επιτρέπει την αλλοίωση της μνήμης του υπολογιστή με τέτοιον τρόπο, ώστε ο επιτιθέμενος να μπορεί να εκτελέσει κώδικα στον υπολογιστή, όπως ακριβώς θα έκανε ο χρήστης του, δηλαδή μπορεί να πάρει τον πλήρη έλεγχο. Ο επιτιθέμενος μπορεί να εγκαταστήσει λογισμικό, να δει, να διαγράψει, να αλλάξει αρχεία ή να δημιουργήσει νέους λογαριασμούς χρήστη με πλήρη δικαιώματα.
       
      H Microsoft εξέδωσε mitigations για το πρόβλημα, αλλά μόνο για τις Windows Server εκδόσεις, στις οποίες ο IE εκτελείται σε restricted mode, συνεπώς υπάρχουν περιορισμοί στη λειτουργία του. Επιπρόσθετα η Microsoft δημοσίευσε οδηγίες με εντολές που μπορούν να περιορίσουν το κενό ασφαλείας και πάλι περιορίζοντας τη λειτουργικότητα του IE.
       
      Η ασφαλέστερη λύση; Μην χρησιμοποιείτε τον IE! Εναλλακτικές υπάρχουν και μάλιστα ασφαλέστερες και ταχύτερες, ανάλογα με τις προτιμήσεις σας. Περιηγητές όπως ο Firefox, o Chrome, ακόμα και ο Edge της Microsoft απέχουν μόλις ένα κλικ από την εγκατάσταση στον δίσκο σας.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.